Los dispositivos inseguros conectados a Internet han ayudado a diferentes tipos de delitos informáticos durante años, siendo los más comunes las campañas de DDoS y spam. Pero los ciberdelincuentes ahora se han desplazado hacia un esquema rentable donde las botnets no solo lanzan DDoS o spam, sino que también extraen criptomonedas.
Smominru, una infame botnet de minería de criptomonedas y robo de credenciales, se ha convertido en uno de los virus informáticos de rápida propagación que ahora infecta a más de 90,000 máquinas cada mes en todo el mundo.
Aunque las campañas que están vulnerando computadoras con la botnet Smominru no han sido diseñadas para perseguir objetivos con ningún interés específico, el último informe de los investigadores de Guardicore Labs arroja luz sobre la naturaleza de las víctimas y la infraestructura del ataque.
Según los investigadores, el mes pasado, más de 4,900 redes fueron infectadas por el gusano sin discriminación alguna, y muchas de estas redes tenían docenas de máquinas internas infectadas.
Las redes infectadas incluyen instituciones de educación superior con sede en los EE. UU., Empresas médicas e incluso compañías de ciberseguridad, con la red más grande perteneciente a un proveedor de atención médica en Italia con un total de 65 hosts infectados.
Activo desde 2017, la botnet Smominru compromete las máquinas de Windows que utilizan principalmente EternalBlue , un exploit creado por la Agencia de Seguridad Nacional de los EE. UU., Pero que luego fue filtrado al público por el grupo de piratería Shadow Brokers y luego el más utilizado por el ataque de ransomware WannaCry. en 2016.
La botnet también se ha diseñado para obtener acceso inicial en sistemas vulnerables simplemente forzando credenciales débiles para diferentes servicios de Windows, incluidos MS-SQL, RDP y Telnet.
Una vez que obtiene acceso inicial a los sistemas de destino, Smominru instala un módulo troyano y un minero de criptomonedas y se propaga dentro de la red para aprovechar la potencia de la CPU de las PC de las víctimas para extraer Monero y enviarlo a una billetera propiedad del operador del malware.
Hace un mes, también se reveló que los operadores detrás de la botnet actualizaron Smominru para agregar un módulo de recolección de datos y un troyano de acceso remoto (RAT) al código de minería de criptomonedas de su botnet.
La última variante de Smominru descarga y ejecuta al menos 20 scripts maliciosos distintos y cargas binarias, incluido un descargador de gusanos , un troyano y un rootkit MBR.
"Los atacantes crean muchas puertas traseras en la máquina en diferentes fases del ataque. Estos incluyen usuarios recién creados, tareas programadas, objetos WMI y servicios configurados para ejecutarse en el momento del arranque", dicen los investigadores.
Según el nuevo informe, los investigadores de Guardicore Labs dijeron que lograron obtener acceso a uno de los servidores centrales de los atacantes, que almacena información de las víctimas y sus credenciales robadas, y observaron más de cerca la naturaleza de las víctimas.
"Los registros de los atacantes describen cada host infectado; incluyen sus direcciones IP externas e internas, el sistema operativo que ejecuta e incluso la carga en las CPU del sistema. Además, los atacantes intentan recopilar los procesos en ejecución y robar credenciales utilizando Mimikatz ", dicen los investigadores.
